Kaspersky Lab heeft de eerste generatie MiniDuke-malware reeds begin vorig jaar blootgelegd. Uitgebreid onderzoek heeft deze stille cyberdreiging, een zogeheten advanced persistent threat (APT), toen ontleed. Als gevolg zijn de lopende aanvallen met deze cybercrimetool afgenomen of zelfs stopgezet. Begin dit jaar is de malafide activiteit met MiniDuke echter weer opgelaaid. Daarbij doet de ‘oude’ malware nog dienst, maar is er ook sprake van een nieuwe generatie.

CosmicDuke

Voor de nieuwste generatie is de technisch geavanceerde code van het origineel aangepast en gecombineerd met een ander stuk malware: Cosmu. Onderzoekers van de Finse securityleverancier F-Secure belichten de technische details van de nieuwste variant van MiniDuke, die de naam CosmicDuke krijgt, eerder deze week in een blogpost. Kaspersky Lab kan deze informatie inmiddels aanvullen met enkele belangrijke bevindingen.

Kwaadaardig zakenvoorstel

Uit analyse door experts van Kaspersky blijkt dat overheden een interessant doelwit blijven voor cybercriminelen, maar ook bedrijven winnen terrein. Eerder was Nederland al één van de zwaar getroffen landen van de Dorifel-malware die het Pobelka-botnet heeft aangelegd om daarlangs zeker 750 gigabyte aan data van gemeenten en bedrijven ongemerkt te stelen. De nieuwe malware CosmicDuke verlegt eveneens de grenzen. Waar de vorige generatie MiniDuke-malware bedoeld was om overheden te infiltreren en daar informatie te stelen, mikt de nieuwe generatie daarnaast op reguliere bedrijven. Dit valt op te maken uit het gebruik van een nep-zakenvoorstel waarbij dat document het eerste deel van de malware binnenbrengt. Securityleverancier Eset noemt het hierbij gebruikte bestand Proposal-Cover-Sheet-English.rtf nogal saai in vergelijking met de politiek getinte boodschappen die bij de aanvallen van vorig jaar zijn ingezet.

Een opvallende categorie tussen de nieuwe doelwitten zijn individuele slachtoffers die betrokken lijken te zijn bij de handel in illegale en gereguleerde middelen, zoals steroïden en hormonen. Tot nu toe zijn deze doelwitten door Kaspersky Lab alleen in Rusland waargenomen.

Niet langer hoogbegaafd

Uit het toolgebruik van de MiniDuke/CosmicDuke-aanvallers blijkt verder dat zij met name op werkdagen actief zijn, het grootste deel van de activiteiten vindt plaats tussen 06:00 uur ‘s ochtends en 16:00 ‘s middags. Ook ontdekten experts van Kaspersky Lab dat de nieuwe generatie van deze malware niet langer geheel bestaat uit technisch complexe code (geschreven in assembler). Het is aangevuld met code die is geschreven in heel gewone programmeertalen (C/C++). Het vermoeden rijst dan ook dat de aanvallers niet langer alleen de oorspronkelijke en technisch hoogbegaafde MiniDuke-gebruikers zijn.

Lees het volledige persbericht online.

Lees voor meer informatie de blogpost op Securelist.com.